Att använda AI utan att tänka på GDPR är en av de vanligaste riskerna för svenska SME 2026. Inte för att reglerna är komplexa — utan för att de flesta inte vet var gränsen går. Den här guiden reder ut det.
Den gyllene regeln
Klistra aldrig in identifierbara personuppgifter i tredjepartsverktyg utan ett Personuppgiftsbiträdesavtal (PUB-avtal). Det inkluderar: namn, e-postadresser, personnummer, telefonnummer, och i många fall även kombinationer av information som gör en person identifierbar.
Med "tredjepartsverktyg" menas ChatGPT, Claude, Gemini och liknande. Gratisversioner av dessa verktyg lagrar ofta konversationer för träningsändamål — det är ett tydligt GDPR-brott om du inkluderar kunddata.
Hur du använder AI lagligt
Alternativ 1 — PUB-avtal
Anthropic (Claude) och OpenAI (ChatGPT) erbjuder båda Personuppgiftsbiträdesavtal för företagskonton. Med ett signerat PUB-avtal på plats kan du använda kunddata mer fritt. Skriv under dessa innan du börjar.
Alternativ 2 — Anonymisering
Ersätt personuppgifter med platshållare: "Kund A" istället för "Anna Lindström", "[ID123]" istället för personnummer. AI behöver sällan veta vem personen faktiskt är — den behöver förstå situationen.
Alternativ 3 — Lokal AI
Kör AI-modeller lokalt på din egen dator via Ollama. Data lämnar aldrig din dator. Kräver lite mer teknisk setup men ger full kontroll. Fungerar utmärkt för känsliga branschdata.
Automatiserade beslut och GDPR artikel 22
Om ditt AI-system automatiskt fattar beslut som påverkar en person — till exempel avvisar en kreditansökan eller prioriterar en kund — faller det under GDPR artikel 22 om automatiserat beslutsfattande. Det kräver att personen informeras och har rätt att begära mänsklig granskning. Konsultera en jurist om detta är aktuellt för din verksamhet.
Praktisk tumregel: Använd AI för att hjälpa dig skriva och analysera — men låt aldrig AI fatta beslut om specifika individer utan mänsklig granskning.
E-postmarknadsföring och GDPR
Alla e-postutskick kräver aktivt samtycke (opt-in). En ifylld kontaktformulär utan explicit kryssruta för marknadsföring räcker inte. Du behöver: tydlig opt-in, möjlighet att avregistrera sig i varje mejl, och en logg över när och hur samtycket gavs.
Incidentrapportering
Om du av misstag klistrar in känsliga personuppgifter i ett AI-verktyg — dokumentera det omgående. Beroende på allvarlighetsgrad kan du behöva rapportera till IMY (Integritetsskyddsmyndigheten) inom 72 timmar. Vid osäkerhet — kontakta IMY direkt eller en GDPR-jurist.
GDPR-efterlevnadspaket ingår
Veiqo Operations Bundle innehåller ett komplett GDPR-efterlevnadspaket för AI-användning, inklusive checklista, PUB-avtalsmall och policy för teamet.
Hämta Operations Bundle — 249 EUR →249 EUR